aWallet Password Manager (Suomi)

HUOMAUTUS: Tämä kysymys on osa alkuperäisestä kysymyksestä aWallet Password Managerissa, joka on lähetetty Cryptography.StackExchange-sivustoon. Kuten ehdotti @SEJPM , lähetän sen tänne, koska kysymyksen aihe sopii paremmin InformationSecurity.StackExchange-palveluun.


Luettuani paljon artikkeleita verkkotilini turvallisuuden parantamisesta, aloin käyttää aWallet Password Manager for Androidia varmuuskopioimaan salasanani. Pidän siitä seuraavista syistä:

  • Minulla voi olla melko hyvät entropia-salasanat : Pystyn heittämään sekoituksen pieniä kirjaimia & KERROS aakkoset, numerot, erikoismerkit (mukaan lukien välilyönnit) ja minulla on kohtuullisen pitkät salasanat (yli 10 merkkiä) )
  • Salasanojen turvallinen tallentaminen antaa minulle erilliset salasanat jokaiselle verkkotilille , jotka muuten olisivat mahdotonta. Tämä välttäisi kaskadivaikutuksen (joka antaa kaikkien tilien tunnistetiedot), joka syntyy ted jos joku tileistäni, jonka kirjautumistiedot jaan useille tileille, vaarantuu.

On sanomattakin selvää, että 2. piste on kiistanalainen , koska minulla on kaikki kirjautumistiedot yhteen paikkaan tallennettu tuo käyttöön epäonnistumisen yhden pisteen ja aiheuttaa saman riskin ketjureaktiolle mainittiin aiemmin.


Ottaen huomioon rajallisen tietämykseni ja yksityisyyttä koskevat epäilyt (kun otetaan huomioon äskettäiset online-varkaudet), haluan todistaa aWallet Password Managerin turvallisuuden ennen Pankki- / korttitiedot siinä. Tässä on se, mitä he väittävät Google PlayStore -sivulla :

TURVALLISUUSOMINAISUUDET

• Kaikki tiedot on salattu, mukaan lukien merkintöjen nimet, luokan määritelmät ja itse tiedot.

• Salaa tiedot AES- ja Blowfish-algoritmeilla, joiden avainkoko on 256, 192 ja 128 bittiä.

• Kun datatiedosto puretaan, kaikki algoritmin, avaimen koon ja salausmoodin yhdistelmät (CBC, CFB, OFB ja EKP) yritetään pääsalasanalla avata datatiedosto. tekee raakavoimahyökkäyksistä pidempiä. Sovellus itsessään ei tallenna vihjeitä todelliseen salaukseen, avaimen kokoon tai salaustilaan.

• Käyttää satunnaisesti muodostettua ”suolaa” yhdessä pääsalasanan kanssa. suojaamaan offline-sanakirjahyökkäyksiltä.

• Avaintiedosto avataan luomalla yhdistämällä pääsalasanasi 512-bittiseen ”suolaan”. SHA-256 hajauttaa tuloksen 1000 kertaa. Toistuva hajautus aiheuttaa raaan voiman puuttua vaikeammaksi.

Vaikka mikään näistä kohdista ei ole minulle järkevää, se mitä tiedän salauksesta, kertoo minulle [korjaa minä, jos olen väärässä] salaustekniikan toistaminen useita kertoja, ei matemaattisesti paranneta suojausta se voi antaa vain yhdelle väärän kuvan lisättävästä turvallisuudesta.


Ja tämän epäjohdonmukaisuuden vuoksi aloin epäillä heidän muiden vaatimustensa pätevyyttä. Kysymykseni ovat: –

  1. Onko työkalua / tekniikkaa, jolla voisin yrittää purkaa aWallet-sovelluksen käyttämän data.crypt -tiedoston salauksen, jotta testataanko sen turvallisuus?
  2. aWallet ei tarjoa omaa pilvitallennustilaa ja antaa meille mahdollisuuden varmuuskopioida data.crypt -tiedosto Google Driveen tai Dropbox. Kuinka turvallista se olisi, jos käytän 2-tekijän todennusta Google-tililläni?
  3. Onko yleisesti ottaen turvallista tallentaa kirjautumistiedot tai pankkitiedot tai molemmat salasanojen hallintaan?

kommentit

  • Onko toistuva hajautus, joka sai sinut epäilyttäväksi? Se ei ole sama kuin toistuva salaus, ja se on todellakin tavanomainen käytäntö. Katso tämä .
  • Is it safe to store login credentials or banking details or both in a password manager Se ei ole ’ t: n on oltava täydellinen suojaus, sen on oltava parempi kuin luoda oma salasana ja muistaa se.
  • ” kaikki algoritmin, avaimen koon ja salattua toimintatilaa (CBC, CFB, OFB ja EKP) kokeillaan ”. Tämä kuulostaa idioottiselta … miksi et käyttäisi oikeaa avainjohdon toimintoa?Se, että he ilmeisesti sallivat sinun käyttää EKP: tä, on valtava punainen lippu (ja jos ne eivät ’ salli sinun käyttää EKP: tä, yrität purkaa salauksen sen avulla ei ’ älä millään tavoin hidasta hyökkääjää)
  • Haluan osoittaa ketään, joka haluaa kommentoida salaustietoja tämän ” salasananhallinnan ” -linkitettyyn viestiin Crypto.SE-tiedostossa , jossa näistä asioista kerrotaan ja joista keskustellaan.

Vastaa

Huomaa: Tämä viesti todella vastaa kysymykseen (kysymyksiin) eikä kommentoi (paljon) aWalletin turvallisuutta. Ehdotan, että vierailet Tämän kysymyksen Crypto.SE-versio salaustietojen tarkastelua varten.

Onko työkalua / tekniikkaa, jota voisin käyttää yrittää purkaa aWallet-sovelluksen käyttämä data.crypt-tiedosto salauksen testaamiseksi sen turvallisuuden kannalta?

Nopea haku ei tuottanut mitään, joten en Oletetaan, että tämä salasananhallinta ei ole tarpeeksi iso / ei ole nähnyt tarpeeksi tutkimusta, jotta joku muu olisi kirjoittanut työkalun hyökätä tähän salasananhallintaan.

aWallet ei tarjoa omaa pilvitallennustilaa ja antaa meille mahdollisuuden varmuuskopioida data.crypt-tiedosto Google Driveen tai Dropboxiin. Kuinka turvallista se olisi, jos käytän 2-tekijän todennusta Google-tililläni?

Tämä riippuu suuresti.
Oletetaan, että lompakko suojaustoimenpiteet ovat todella hyviä ja käytät vahvaa salasanaa ja / tai paikallista avaintiedostoa. Salatun salasanatietokannan lataaminen pilvipalveluun ei vahingoita tietoturvaa, koska salasanasi ja / tai avaintiedostosi ovat suojata salasanoja. Tietysti näiden pilvipalvelujen lisätty todennus ja pääsynvalvonta tarkoittaa, että mahdollisuudet ovat pääsy vain sinulle ja palveluntarjoajalle, ja yleensä palveluntarjoajan edun mukaista on olla vuotamatta käyttäjätiedostoja.

Onko yleensä turvallista tallentaa kirjautumistiedot tai pankkitiedot tai molemmat salasanojen hallintaan?

Kyllä, hyvin, jos salasanojen hallinta on kunnollinen.
Salasanojen hallinnan avulla voit helposti luoda ainutlaatuisen, vahvat salasanat verkkosivustoa kohti, mikä tarkoittaa, että vaaditaan salasanatietokannan tai paikallisen asiakkaan kompromissi. Kuten olemme jo todenneet, vahva salasana estää varmuuskopion vaarantumisen, joten tämä jättää asiakkaan kompromissin vektoriksi salasanan oppimiseksi. Mutta heti kun asiakkaasi on vaarantunut, kaikki vedot ovat joka tapauksessa pois käytöstä, koska hyökkääjä voi vain haistaa näppäimistön tai valvoa / siepata verkkotietojasi! Joten kaiken kaikkiaan sinulla on vähän menetettävää ja paljon voitettavaa käyttämällä (hyviä) passowrd-hallintaohjelmia.

Onko aWallet hyvä salasananhallinta, on kuitenkin erilainen kysymys (ja vastasi Crypto.SE: ssä).

Vastaa

aLompakko erityisesti: älä käytä sitä. Luoja ei tietenkään tiedä mitä he tekevät. Esitän vain yhden huolenaiheen (on useita, jotka todennäköisesti ovat ilmeisempiä ihmisille älykkäämpiä kuin minä): se voi salata tietokannan EKP-tilassa (joskus, mutta ei aina).

EKP-tila ei ole varsin turvallinen, koska sama selkokielinen teksti salaa aina saman salakirjoitustekstin. Siksi EKP-tila ”ei piilota datamalleja hyvin … se ei tarjoa vakavaa viestin luottamuksellisuutta , eikä sitä suositella lainkaan salausprotokollissa ”.

Salasanojen hallinta yleensä: käytä sellaista. Mutta valitse tunnettu, jolla on hyvä maine, kuten 1Password, LastPass, KeePass, Dashlane jne. Tai ainakin käytä tunnetun turvallisuusyhtiön tai tietoturvatutkijan luomaa tai suosittelemaa, jos et tiedä mistä muualta etsiä. Hyvä salasanojen hallinta, jolla on pätevä salaus ( ei aWallet ilmeisesti), on täysin turvallista pitää pilvitallennustilassa edellyttäen, että pääsalasanasi on vahva.


Muokkaa: OK, en voi olla vastustamatta muutaman muun pisteen valitsemista, jotka hyppäävät minulle huutamaan” pysy poissa ”:

  • Pääsalasanan muuttaminen salausavaimeksi: ”SHA-256 sekoittaa tuloksen 1000 kertaa.” Tämä on naurettavasti riittämätöntä. Tehty oikein, he käyttävät vähintään PBKDF: ää vähintään 10000 kierroksella eikä räätälöityä hash -silmukkaa, joka on vain 1000. Jopa se riittäisi tuskin ja verrata huonosti oikeaan käyttöönotettuihin salasanojen hallintaohjelmiin. Sadat tuhannet tai useammat kierrokset olisivat enemmän samanlaisia. Tai hylkää SHA-pohjainen salasanan hajautus ja käytä jotain esimerkiksi bcrypt tai argon2. Tätä ohjelmistoa ei voida verrata nykyaikaisiin työkaluihin.
  • ”tukee datatiedoston automaattista tuhoutumista, kun ennalta määritetty määrä epäonnistuneita lukituksen avauksia on yritetty.” Tämä ei vaikuta hyökkääjään ollenkaan. Ainoa henkilö, jota tämä voi vahingoittaa, on laillinen käyttäjä. Hyökkääjä kopioi tietokannan tai käyttää muokattua ohjelmistoa arvausrajan poistamiseksi. Sinä toinen käsi voi vahingossa menettää kaikki salasanasi, joita ei enää koskaan näe, jos vahingossa kytketään päälle capslock tai kuollut avain tai jotain sellaista.

Vastaa

Erityisesti vastaaminen kysymykseesi:

Onko työkalua / tekniikkaa, jota voisin yrittää yrittää purkaa aWallet-sovelluksen käyttämä data.crypt-tiedosto sen turvallisuuden testaamiseksi?

Tässä on pieni python-komentosarja, joka purkaa data.crypt -tiedostojen salauksen ja tulostaa sisällön stdout-tiedostoon. Huomaa, että se ei ole suojattu, koska kaikki näkyy pelkkänä tekstinä, joten tämä suojatulla koneella tai nuken datatiedostolla.

Skripti rakennettiin käyttämällä tekninen dokumentaatio osoitteessa awallet.org.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *